JP2016051250A - Function control system, method, setting information management apparatus, user terminal, and program - Google Patents

Function control system, method, setting information management apparatus, user terminal, and program Download PDF

Info

Publication number
JP2016051250A
JP2016051250A JP2014174972A JP2014174972A JP2016051250A JP 2016051250 A JP2016051250 A JP 2016051250A JP 2014174972 A JP2014174972 A JP 2014174972A JP 2014174972 A JP2014174972 A JP 2014174972A JP 2016051250 A JP2016051250 A JP 2016051250A
Authority
JP
Japan
Prior art keywords
setting information
information
encryption
function
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014174972A
Other languages
Japanese (ja)
Inventor
広明 伊坂
Hiroaki Isaka
広明 伊坂
盛 知加良
Shigeru Chikara
盛 知加良
真紀子 青柳
Makiko Aoyanagi
真紀子 青柳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2014174972A priority Critical patent/JP2016051250A/en
Publication of JP2016051250A publication Critical patent/JP2016051250A/en
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide a technology of flexibly controlling operation of an application in a user terminal.SOLUTION: A function control system includes a setting information management apparatus 120, and a user terminal. The setting information management apparatus 120 includes: a user management section 121 which manages user information on each of users; an encryption condition specifying section 124 which sets encryption conditions corresponding to the users; an authority setting section 122 which issues setting information of functions of applications; and an encryption execution section 123 which encrypts authentication information. The user terminal includes: a setting information storing section which stores the encrypted setting information; a decryption information collection section which collects information required for decrypting the encrypted setting information; a decryption execution section which decrypts the encrypted setting information by use of the collected information; and a function execution section which controls whether to execute a function of an application on the basis of the decrypted setting information, or branching the execution.SELECTED DRAWING: Figure 1

Description

本発明は、端末装置の制御技術に関し、制御装置によって端末装置を遠隔制御する技術に関する   The present invention relates to a control technology for a terminal device, and relates to a technology for remotely controlling a terminal device by a control device.

現在、モバイルPC端末やスマートフォン端末などには、多様なデバイス、アプリケーション、コンテンツが搭載され、それらを用いた多様なサービスの提供が可能となっている。これに加え、モバイルPC端末装置やスマートフォン端末装置などのもつ機動性や常時利用可能性により、利用者はそれらサービスを多様な利用環境で享受することができる。   Currently, various devices, applications, and contents are installed in mobile PC terminals and smartphone terminals, and various services using them can be provided. In addition to this, the mobile PC terminal device, the smart phone terminal device, and the like have mobility and constant availability so that the user can enjoy these services in various usage environments.

一方で、サービスや利用環境が多様であるがゆえ、利用環境に応じた適切なサービスが提供されない場合に問題となる場合がある。例えば、企業内で利用されるべきアプリケーションやコンテンツが搭載されたモバイルPC端末が企業外へ持ち出されて利用されてしまう場合や、逆に企業内で利用されるべきではないデバイス(カメラデバイスなど)が搭載されたスマートフォン端末装置が企業内へ持ち込まれて利用されてしまう場合などである。また、BYOD (Bring Your Own Device)と呼ばれる企業の従業員の所有するスマートフォンを企業内で利用する業務形態が、業務利用・私的利用の区分分けをより複雑にしている。   On the other hand, since services and usage environments are diverse, there may be a problem when an appropriate service corresponding to the usage environment is not provided. For example, when a mobile PC terminal with applications and contents that should be used within the company is taken out of the company and used, or conversely, devices that should not be used within the company (camera devices, etc.) This is the case when a smartphone terminal device equipped with is brought into a company and used. In addition, the business mode of using smartphones owned by company employees called BYOD (Bring Your Own Device) within the company complicates the division between business use and private use.

このような問題への解決として、業務用端末装置を、業務で利用されるデバイスやアプリケーション以外に予め利用できないようにしておくMDM(モバイルデバイス管理)サービスなどがある(例えば、非特許文献1,2参照。)。しかしながら、非特許文献1,2の方法では、端末装置の利用環境に拘わらず、そこで利用可能なデバイスやアプリケーションが固定的に制限されるため、任意の利用環境に応じて端末装置を柔軟に制御することができない。そのため、企業のオフィス内では、業務用アプリのみが実行可能となり、自宅では、業務用アプリが実行不可、私用アプリが実行可能となるといったBYODに必要な任意の利用環境に応じて端末装置を柔軟に制御することができない場合がある。そのため、非特許文献1では、端末装置を柔軟に制御することが可能な技術として、任意の端末装置に特定のサービスの実行を許可するか否かを表す制御情報に基づいて制御する方式を提案している。この方式は、制御情報を、任意の端末装置が収集可能な情報により暗号化しており、当該端末の利用環境が暗号化した条件を満たした場合にのみ制御情報が復号化され、その制御情報により指定したサービスを起動ないし、停止することによって、当該端末における機能を制御するものである。   As a solution to such a problem, there is an MDM (Mobile Device Management) service that prevents a business terminal device from being used in advance other than devices and applications used in business (for example, Non-Patent Document 1, 2). However, in the methods of Non-Patent Documents 1 and 2, devices and applications that can be used there are fixedly restricted regardless of the usage environment of the terminal device, so the terminal device can be flexibly controlled according to an arbitrary usage environment. Can not do it. For this reason, only business applications can be executed in corporate offices, while business applications cannot be executed at home, and private applications can be executed at home. There are cases where it cannot be controlled flexibly. For this reason, Non-Patent Document 1 proposes a control method based on control information indicating whether or not to permit execution of a specific service to an arbitrary terminal device as a technique capable of flexibly controlling the terminal device. doing. In this method, control information is encrypted with information that can be collected by an arbitrary terminal device, and the control information is decrypted only when the usage environment of the terminal satisfies the encrypted condition. The function of the terminal is controlled by starting or stopping the specified service.

一般に、暗号化に用いられる暗号アルゴリズムには、元のデータを復元できない一方向の変換を行うハッシュ関数を用いた暗号化と復号に用いる鍵が同一の共通鍵暗号方式、暗号化と復号に用いる鍵(公開鍵と秘密鍵)が異なる公開鍵暗号方式があり、用途に応じた使い分けや組合わせが行われている。また、公開鍵暗号方式の発展形である述語暗号として、暗号化・復号の条件を、単一のパラメータや複数のパラメータとその論理演算式(論理和(OR条件)、論理積(AND条件)、否定(NOT条件)とそれらの組合わせ)として与えることができる暗号方式も提案されている。単一のパラメータで暗号化・復号する暗号方式は、IDベース暗号、複数のパラメータとその論理演算式で 暗号化・復号する方式は関数型暗号と呼ばれる。IDベース暗号、関数型暗号とも、あらかじめペアとなるマスター公開鍵、マスター秘密鍵のセットを生成し、マスター公開鍵、マスター秘密鍵とパラメータの演算によって、パラメータ毎に異なる公開鍵、秘密鍵を生成する(例えば、非特許文献3、特許文献2、特許文献3参照。)。   In general, the encryption algorithm used for encryption is a common key encryption method that uses the same key for encryption and decryption using a hash function that performs one-way conversion that cannot restore the original data, and is used for encryption and decryption. There are public key cryptosystems with different keys (public key and private key), and they are used and combined according to the purpose. In addition, as predicate encryption, which is an extension of public key cryptography, encryption / decryption conditions can be set to a single parameter or multiple parameters and their logical operations (logical sum (OR condition), logical product (AND condition)). An encryption method that can be given as a negative (NOT condition) and a combination thereof has also been proposed. The encryption method that encrypts / decrypts with a single parameter is called ID-based encryption, and the method that encrypts / decrypts with multiple parameters and their logical expressions is called functional encryption. For both ID-based encryption and functional encryption, a set of master public key and master secret key paired in advance is generated, and different public and private keys are generated for each parameter by calculating the master public key and master secret key and parameters. (For example, refer to Non-Patent Document 3, Patent Document 2, and Patent Document 3.)

特許文献1は、暗号化に述語暗号を利用し、利用者端末の利用環境をパラメータとして暗号化・復号を行っている。   Patent Document 1 uses predicate encryption for encryption and performs encryption / decryption using the usage environment of the user terminal as a parameter.

”スマートフォン遠隔制御サービス”、[online]、株式会社エヌ・ティ・ティ・ドコモ、[平成26年8月22日検索]、インターネット<URL:http://www.docomo.biz/html/service/remotecontrol/>“Smartphone remote control service”, [online], NTT DoCoMo, Inc., [searched on August 22, 2014], Internet <URL: http://www.docomo.biz/html/service/ remotecontrol / > ”スマートフォン遠隔制御サービスサービスガイドライン”、[online]、平成23年7月15日、株式会社エヌ・ティ・ティ・ドコモ、[平成26年8月22日検索]、インターネット<URL:http://www.docomo.biz/pdf/html/service/remotecontrol/pdf_02.pdf>“Smartphone Remote Control Service Service Guidelines”, [online], July 15, 2011, NTT DoCoMo, Inc., [Search August 22, 2014], Internet <URL: http: // www.docomo.biz/pdf/html/service/remotecontrol/pdf_02.pdf> 小林鉄太郎、山本剛、鈴木幸太郎、平田真一、「IDベース暗号の応用とキーワード検索暗号」、NTT技術ジャーナル、2010年、p.17〜20Tetaro Kobayashi, Go Yamamoto, Kotaro Suzuki, Shinichi Hirata, “Application of ID-based cryptography and keyword search cryptography”, NTT Technical Journal, 2010, p.17-20

特開2013−74302号公報JP2013-74302A 特開2011−4366号公報JP 2011-4366 A 特許第5253567号公報Japanese Patent No. 5253567

しかしながら、特許文献1の手法では、制御する単位がアプリケーション単位であり、利用環境によって、アプリケーション内で利用可能な内部機能を変更するといったより精密な制御はできないという課題があった。   However, the method of Patent Document 1 has a problem that the unit to be controlled is an application unit, and more precise control such as changing an internal function that can be used in the application cannot be performed depending on the usage environment.

本発明はこのような点に鑑みてなされたものであり、端末装置内のアプリケーションの動作を柔軟に制御することが可能な機能制御システム、方法、設定情報管理装置、利用者端末及びプログラムを提供することを目的とする。   The present invention has been made in view of these points, and provides a function control system, method, setting information management apparatus, user terminal, and program capable of flexibly controlling the operation of an application in a terminal apparatus. The purpose is to do.

上記の課題を解決するために、本発明の一態様による機能制御システムは、各利用者の利用者情報の管理を行う利用者管理部と、各上記利用者に対応する暗号化条件の設定を行う暗号化条件指定部と、各アプリケーションの各機能の設定情報の発行を行う権限設定部と、上記認証情報を暗号化する暗号化実行部とを有する設定情報管理装置と、上記暗号化された設定情報を保管する設定情報保管部と、上記暗号化された設定情報の復号に必要な情報を収集する復号情報収集部と、上記収集された情報を用いて上記暗号化された設定情報を復号する復号実行部と、上記復号された設定情報に基づきアプリケーションの機能の実行の可否あるいは実行の分岐を行う機能実行部と、を有する利用者端末と、を含む。   In order to solve the above-described problem, a function control system according to an aspect of the present invention includes a user management unit that manages user information of each user and an encryption condition setting that corresponds to each user. A setting information management device having an encryption condition specifying unit to perform, an authority setting unit for issuing setting information of each function of each application, and an encryption execution unit for encrypting the authentication information, and the encrypted A setting information storage unit for storing setting information, a decryption information collection unit for collecting information necessary for decrypting the encrypted setting information, and decrypting the encrypted setting information using the collected information And a user terminal having a function execution unit that branches whether or not to execute the function of the application based on the decoded setting information.

本発明によれば、端末装置内のアプリケーションの動作を柔軟に制御することができる。   ADVANTAGE OF THE INVENTION According to this invention, operation | movement of the application in a terminal device can be controlled flexibly.

第一実施形態の機能制御システム(事前配布型)の例の機能ブロック図。The functional block diagram of the example of the function control system (prior distribution type) of 1st embodiment. 設定情報の構成例のイメージ図。The image figure of the example of a structure of setting information. 第一実施形態の機能制御システムの例の処理フローを示す図。The figure which shows the processing flow of the example of the function control system of 1st embodiment. 第二実施形態の機能制御システム(随時配布型)の例の機能ブロック図。The functional block diagram of the example of the function control system (as needed distribution type) of 2nd embodiment. 第二実施形態の機能制御システムの例の処理フローを示す図The figure which shows the processing flow of the example of the function control system of 2nd embodiment.

以下、本発明の実施形態について説明する。
<第一実施形態:事前配布型>
本実施形態では、アプリケーションの設定情報を、事前に端末上に配置する形態での実施について説明する。 Hereinafter, embodiments of the present invention will be described.
<First embodiment: Advance distribution type>
In the present embodiment, an embodiment in which application setting information is arranged on a terminal in advance will be described.

図1は、第一実施形態の機能制御システムの例のブロック図である。第一実施形態の機能制御システムは、利用者端末110と設定情報管理装置120とを備えている。利用者端末110は、設定情報保管部111と機能実行部112と復号実行部113と復号情報収集部114とを備えている。設定情報管理装置120は、利用者管理部121と権限設定部122と暗号化実行部123と暗号化条件指定部124と備えている。図3は、第一実施形態の機能制御システムの処理フローの例である。   FIG. 1 is a block diagram of an example of a function control system according to the first embodiment. The function control system of the first embodiment includes a user terminal 110 and a setting information management device 120. The user terminal 110 includes a setting information storage unit 111, a function execution unit 112, a decryption execution unit 113, and a decryption information collection unit 114. The setting information management apparatus 120 includes a user management unit 121, an authority setting unit 122, an encryption execution unit 123, and an encryption condition designation unit 124. FIG. 3 is an example of a processing flow of the function control system of the first embodiment.

設定情報管理装置120において、利用者管理部121は、各利用者の利用者情報の管理を行う。   In the setting information management apparatus 120, a user management unit 121 manages user information of each user.

暗号化条件指定部124は、利用者毎に設定情報を暗号化するための暗号化方式や暗号化・復号の条件を指定する(ステップS101)。暗号化・復号条件は利用者毎個別、あるいは複数の利用者に共通、あるいは全利用者に共通としてもよい。これらの指定された暗号化方式や条件は、利用者情報として、利用者管理部121により管理される。   The encryption condition designation unit 124 designates an encryption method for encrypting the setting information and encryption / decryption conditions for each user (step S101). The encryption / decryption conditions may be individual for each user, common to a plurality of users, or common to all users. These designated encryption methods and conditions are managed by the user management unit 121 as user information.

権限設定部122は、制御対象のアプリケーション毎に設定情報を生成する(ステップS102)。言い換えれば、権限設定部122は、各アプリケーションの各機能の設定情報の発行を行う。設定情報として、アプリケーションごとの利用の可否ではなく、各アプリケーション内の各機能の利用の可否が設定されている部分が従来とは異なる部分である。   The authority setting unit 122 generates setting information for each application to be controlled (step S102). In other words, the authority setting unit 122 issues setting information for each function of each application. The setting information is not a portion that indicates whether or not each application can be used, but a portion in which whether or not each function in each application is used is set.

図2は設定情報の構成例である。基本設定情報には制御対象となる個別機能や接続先などの情報が記述される。制御対象となる個別機能については、制御パターン毎に機能のON/OFFあるいは接続先の情報等が記述され、それぞれのパターン毎に利用条件が設定される。利用条件は単数または複数指定可能である。この例では、設定情報は、基本設定情報及び制御対象設定情報の2つの情報から階層的に構成されている。   FIG. 2 shows a configuration example of the setting information. In the basic setting information, information such as individual functions to be controlled and connection destinations are described. For individual functions to be controlled, function ON / OFF or connection destination information is described for each control pattern, and usage conditions are set for each pattern. One or more usage conditions can be specified. In this example, the setting information is hierarchically configured from two pieces of information, basic setting information and control target setting information.

図2を例に説明すると利用者の端末が社外にある場合は、保存のみ可能、社内にある場合には、保存、ファイル名変更が動作可能としている。また、社内にありかつ就業時間内のみデータのコピーとペーストが可能にある。ある操作の取り消しや再実行はどのような条件でも実行可能である。接続先情報としては、社員の場合、社内・社外で接続可能なサーバを変更する制御方法を指定している。また、委託業者の場合、サーバへのアップロードのみを許可し、ダウンロードは禁止する設定となっている。なお、本発明のアプリケーションの設定情報は、図2に記述した形式に限定されない。   Referring to FIG. 2 as an example, if the user's terminal is outside the company, only saving is possible, and if the user's terminal is inside the company, saving and file name change are operable. In addition, data can be copied and pasted only within the company and during working hours. An operation can be canceled or re-executed under any conditions. As connection destination information, in the case of an employee, a control method for changing a server that can be connected inside or outside the company is specified. In the case of a contractor, only uploading to a server is permitted, and downloading is prohibited. Note that the application setting information of the present invention is not limited to the format described in FIG.

権限設定部122は、利用者管理部121から制御対象の単数ないし複数の利用者毎の利用条件を参照する(ステップS103)。   The authority setting unit 122 refers to the usage condition for each of the user to be controlled from the user management unit 121 (step S103).

利用条件において、暗号化指定されている場合は、権限設定部122は、指定された暗号化条件と該当する設定情報を暗号化実行部123に送信する(ステップS104)。   If encryption is specified in the usage conditions, the authority setting unit 122 transmits the specified encryption conditions and corresponding setting information to the encryption execution unit 123 (step S104).

暗号化実行部123は、暗号化した設定情報を権限設定部122に返信する(ステップS105)。   The encryption execution unit 123 returns the encrypted setting information to the authority setting unit 122 (step S105).

権限設定部122は、暗号化された設定情報を利用者端末110に配布する(ステップS106)。設定情報が暗号化されていない場合には、暗号化されていない設定情報が利用者端末110に配布される。   The authority setting unit 122 distributes the encrypted setting information to the user terminal 110 (step S106). If the setting information is not encrypted, the unencrypted setting information is distributed to the user terminal 110.

利用者端末110への配布は、オンラインあるいはオフラインのいずれの場合でも可能である。また、設定情報は制御対象のアプリケーションと同時に配布することも、別の契機で配布することも可能である。   Distribution to the user terminal 110 can be performed online or offline. The setting information can be distributed simultaneously with the application to be controlled, or can be distributed at another time.

利用者端末110において、設定情報管理装置120から配布された設定情報は、設定情報保管部111に保存される。   In the user terminal 110, the setting information distributed from the setting information management device 120 is stored in the setting information storage unit 111.

利用者端末110において、制御対象のアプリケーションが起動ないしある機能を実行する場合、設定情報保管部111に保管されている設定対象ファイルを参照する(ステップS111)。   In the user terminal 110, when the control target application is activated or executes a certain function, the setting target file stored in the setting information storage unit 111 is referred to (step S111).

取得した設定情報が暗号化されていた場合、機能実行部112は、復号実行部113に対して、設定情報の復号を依頼する(ステップS112)。   If the acquired setting information is encrypted, the function execution unit 112 requests the decryption execution unit 113 to decrypt the setting information (step S112).

復号実行部113は、暗号化された設定情報を復号するために必要な復号情報の収集を、復号情報収集部114に依頼する(ステップS113)。   The decryption execution unit 113 requests the decryption information collection unit 114 to collect decryption information necessary for decrypting the encrypted setting information (step S113).

復号情報収集部114が収集した復号情報は復号実行部113に送信され(ステップS114)、復号実行部113で復号処理が実行され、復号された設定情報は機能実行部112に送信される(ステップS115)。   The decryption information collected by the decryption information collection unit 114 is transmitted to the decryption execution unit 113 (step S114), the decryption process is performed by the decryption execution unit 113, and the decrypted setting information is transmitted to the function execution unit 112 (step S114). S115).

機能実行部112では、設定情報保管部111から取得した暗号化されていない設定情報ないしステップS112からステップS114のフローにより復号された設定情報を参照して、機能の実行の可否あるいは機能の分岐を制御する。ステップS101からステップS103、ステップS112からステップS115のフローにおいて利用する暗号化・復号は、共通鍵暗号方式、公開鍵暗号方式、IDベース暗号方式および関数型暗号方式を含む任意の方法が利用可能である。   The function execution unit 112 refers to the unencrypted setting information acquired from the setting information storage unit 111 or the setting information decrypted by the flow from step S112 to step S114, and determines whether the function can be executed or the function is branched. Control. The encryption / decryption used in the flow from step S101 to step S103 and from step S112 to step S115 can use any method including a common key encryption method, a public key encryption method, an ID-based encryption method, and a functional encryption method. is there.

以下、各暗号方式を利用した場合の暗号化条件、復号情報の実施例について説明する。   Hereinafter, examples of encryption conditions and decryption information when each encryption method is used will be described.

共通鍵暗号方式の場合、暗号化条件および復号情報は、暗号化・復号するための共通鍵となる。設定情報管理装置120の暗号化条件指定部124において生成された共通鍵は、利用者端末110の復号情報収集部114がアクセス可能な任意の場所に保管される。   In the case of the common key cryptosystem, the encryption conditions and the decryption information are common keys for encryption / decryption. The common key generated in the encryption condition specification unit 124 of the setting information management device 120 is stored in an arbitrary location accessible by the decryption information collection unit 114 of the user terminal 110.

公開鍵案方法式の場合、公開鍵、秘密鍵はペアで生成される。暗号化条件には公開鍵、復号情報には秘密鍵をそれぞれ利用する。暗号化条件指定部124は、利用者毎に使用する公開鍵を指定するとともに、そのペアとなる秘密鍵を利用者端末110に送信する。秘密鍵は、利用者端末110の復号情報収集部114がアクセス可能な任意の場所に保管される。また、公開鍵、秘密鍵のペアを生成・保管する形式として電子証明書を利用することも可能である。   In the case of the public key scheme method, a public key and a secret key are generated in pairs. A public key is used for encryption conditions and a secret key is used for decryption information. The encryption condition designating unit 124 designates a public key to be used for each user, and transmits the paired secret key to the user terminal 110. The secret key is stored in an arbitrary location accessible by the decryption information collection unit 114 of the user terminal 110. An electronic certificate can also be used as a format for generating and storing a public key / private key pair.

IDベース暗号方式の場合、設定情報管理装置120の暗号化実行部123、利用者端末110の復号実行部113に、それぞれマスター公開鍵、マスター秘密鍵が保管される。暗号化条件指定部124においては、マスター公開鍵、マスター秘密鍵と演算を行うパラメータ種別とパラメータ値を指定する。パラメータとしては、利用者ID、端末固有ID、日付、時間、IPアドレスなど任意の情報が指定可能である。指定されたパラメータ種別は、暗号化ファイルとともに利用者端末110の設定情報保管部111に保管される。ステップS113からステップS115において、利用者端末110の復号情報収集部114はパラメータ種別に指定された情報を取得し、復号実行部113に送信する。   In the case of the ID-based encryption method, the master public key and the master secret key are stored in the encryption execution unit 123 of the setting information management apparatus 120 and the decryption execution unit 113 of the user terminal 110, respectively. The encryption condition designation unit 124 designates a parameter type and a parameter value to be calculated with the master public key and the master secret key. Arbitrary information such as user ID, terminal unique ID, date, time, and IP address can be specified as parameters. The designated parameter type is stored in the setting information storage unit 111 of the user terminal 110 together with the encrypted file. In steps S <b> 113 to S <b> 115, the decryption information collection unit 114 of the user terminal 110 acquires information specified by the parameter type and transmits it to the decryption execution unit 113.

関数型暗号方式の場合、IDベース暗号方式と同様の実施となる。IDベース暗号方式との差異は、暗号化条件の指定において、パラメータ種別とパラメータ値のセットとそれらの論理演算式の指定が可能であることと、復号情報収集部114において、指定された複数の情報を収集することである。
<第二実施形態:随時配布型>
本実施形態では、設定情報を随時配布する方式での実施について説明する。 In the case of the functional encryption method, the implementation is the same as the ID-based encryption method. The difference from the ID-based encryption method is that, in specifying the encryption conditions, it is possible to specify a set of parameter types and parameter values and their logical operation expressions, and the decryption information collection unit 114 specifies a plurality of specified values. It is to collect information.
<Second embodiment: Anytime distribution type>
In the present embodiment, an implementation using a method of distributing setting information as needed will be described.

以下では、第一実施形態との相違点を中心に説明し、第一実施形態との共通点については同じ参照番号を用いて説明を省略する。   Below, it demonstrates centering on difference with 1st embodiment, and abbreviate | omits description about the common point with 1st embodiment using the same reference number.

図4は、第二実施形態の機能制御システムの例のブロック図である。図2と比較すると、利用者情報を保管する利用者情報保管部115と設定情報取得部116が利用者端末110に、設定情報の配布を行う設定情報配布部125が設定情報管理装置120に追加されている。図5は、第二実施形態の機能制御システムの処理フローの例である。   FIG. 4 is a block diagram of an example of a function control system according to the second embodiment. Compared with FIG. 2, a user information storage unit 115 and a setting information acquisition unit 116 that store user information are added to the user terminal 110, and a setting information distribution unit 125 that distributes setting information is added to the setting information management device 120. Has been. FIG. 5 is an example of a processing flow of the function control system of the second embodiment.

利用者条件の設定から設定情報の暗号化までのフローは第一実施形態におけるステップS101からステップS104と同一である。一連のフローにより、暗号化されていない設定情報あるいは暗号化された設定情報は、利用者情報保管部115に保存される(ステップS205,S206)。   The flow from the setting of the user condition to the encryption of the setting information is the same as that from step S101 to step S104 in the first embodiment. Through a series of flows, unencrypted setting information or encrypted setting information is stored in the user information storage unit 115 (steps S205 and S206).

利用者端末において、設定情報取得部116は、利用者情報保管部115から取得した利用者IDや端末ID、利用者の属性情報などを設定情報管理装置120に送信する(ステップS211,S212)。   In the user terminal, the setting information acquisition unit 116 transmits the user ID, terminal ID, user attribute information, and the like acquired from the user information storage unit 115 to the setting information management device 120 (steps S211 and S212).

設定情報管理装置120における設定情報配布部125は、送信された情報を利用者管理部121に送信し、条件に合致する設定情報を取得する(ステップS213)。   The setting information distribution unit 125 in the setting information management apparatus 120 transmits the transmitted information to the user management unit 121, and acquires setting information that matches the conditions (step S213).

取得された設定情報は利用者端末110に送信され、利用者端末110の設定情報保管部111に保管される(ステップS214,S215)。   The acquired setting information is transmitted to the user terminal 110 and stored in the setting information storage unit 111 of the user terminal 110 (steps S214 and S215).

利用者端末110において、制御対象のアプリケーションが起動ないしある機能を実行する場合、第一実施形態におけるステップS111からステップS115と同じフロー及び処理によりアプリケーションの制御が実行される。   In the user terminal 110, when an application to be controlled is activated or executes a certain function, control of the application is executed by the same flow and processing as in steps S111 to S115 in the first embodiment.

このように、設定情報制御情報は随時配布されてもよい。なお、利用者端末110における設定情報の取得は、当該アプリケーションの起動や機能の実行を契機としても、独立の契機としても、あるいはその両方を契機としてもよい。
<変形例等>
上記装置及び方法において説明した処理は、記載の順にしたがって時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。 Thus, the setting information control information may be distributed at any time. The acquisition of the setting information in the user terminal 110 may be triggered by the activation of the application or execution of the function, an independent trigger, or both.
<Modifications>
The processes described in the above apparatus and method are not only executed in time series according to the description order, but may also be executed in parallel or individually as required by the processing capability of the apparatus that executes the process.

また、上記の実施形態及び変形例で説明した各装置における各種の処理機能をコンピュータによって実現してもよい。その場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。   In addition, various processing functions in each device described in the above embodiments and modifications may be realized by a computer. In that case, the processing contents of the functions that each device should have are described by a program. Then, by executing this program on a computer, various processing functions in each of the above devices are realized on the computer.

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。   The program describing the processing contents can be recorded on a computer-readable recording medium. As the computer-readable recording medium, for example, any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, and a semiconductor memory may be used.

また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させてもよい。   The program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Further, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶部に格納する。そして、処理の実行時、このコンピュータは、自己の記憶部に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実施形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよい。さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、プログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。   A computer that executes such a program first stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its storage unit. When executing the process, this computer reads the program stored in its own storage unit and executes the process according to the read program. As another embodiment of this program, a computer may read a program directly from a portable recording medium and execute processing according to the program. Further, each time a program is transferred from the server computer to the computer, processing according to the received program may be executed sequentially. Also, the program is not transferred from the server computer to the computer, and the above-described processing is executed by a so-called ASP (Application Service Provider) type service that realizes the processing function only by the execution instruction and result acquisition. It is good. Note that the program includes information provided for processing by the electronic computer and equivalent to the program (data that is not a direct command to the computer but has a property that defines the processing of the computer).

また、コンピュータ上で所定のプログラムを実行させることにより、各装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。   In addition, although each device is configured by executing a predetermined program on a computer, at least a part of these processing contents may be realized by hardware.

110 利用者端末
111 設定情報保管部
112 機能実行部
113 復号実行部
114 復号情報収集部
115 利用者情報保管部
116 設定情報取得部
120 設定情報管理装置
121 利用者管理部
122 権限設定部
123 暗号化実行部
124 暗号化条件指定部
125 設定情報配布部 DESCRIPTION OF SYMBOLS 110 User terminal 111 Setting information storage part 112 Function execution part 113 Decryption execution part 114 Decryption information collection part 115 User information storage part 116 Setting information acquisition part 120 Setting information management apparatus 121 User management part 122 Authority setting part 123 Encryption Execution unit 124 Encryption condition designation unit 125 Setting information distribution unit

Claims (12)

各利用者の利用者情報の管理を行う利用者管理部と、各上記利用者に対応する暗号化条件の設定を行う暗号化条件指定部と、各アプリケーションの各機能の設定情報の発行を行う権限設定部と、上記認証情報を暗号化する暗号化実行部とを有する設定情報管理装置と、
上記暗号化された設定情報を保管する設定情報保管部と、上記暗号化された設定情報の復号に必要な情報を収集する復号情報収集部と、上記収集された情報を用いて上記暗号化された設定情報を復号する復号実行部と、上記復号された設定情報に基づきアプリケーションの機能の実行の可否あるいは実行の分岐を行う機能実行部と、を有する利用者端末と、
を含む機能制御システム。 A user management unit for managing user information of each user, an encryption condition specifying unit for setting encryption conditions corresponding to each user, and issuing setting information for each function of each application A setting information management device having an authority setting unit and an encryption execution unit that encrypts the authentication information;
A setting information storage unit for storing the encrypted setting information, a decryption information collection unit for collecting information necessary for decrypting the encrypted setting information, and the encrypted information using the collected information. A user terminal having a decoding execution unit for decoding the set information, and a function execution unit for branching execution or non-execution of the function of the application based on the decoded setting information,
Including function control system. 請求項1に記載の制御システムであって、
上記設定情報管理装置は、上記暗号化された設定情報を上記利用者端末に配布する設定情報配布部を更に有し、
上記利用者端末は、上記設定情報管理装置から上記暗号化された設定情報を取得する設定情報取得部を更に有する、
機能制御システム。 The control system according to claim 1,
The setting information management device further includes a setting information distribution unit that distributes the encrypted setting information to the user terminal,
The user terminal further includes a setting information acquisition unit that acquires the encrypted setting information from the setting information management device.
Function control system. 請求項1又は2に記載の利用者認証システムであって、
設定情報の変更により機能の実行の可否、機能の分岐を行う機能を持つ、
機能制御システム。 The user authentication system according to claim 1 or 2,
Whether the function can be executed by changing the setting information or has a function to branch the function.
Function control system. 請求項1から3の何れかに記載の機能制御システムであって、
上記設定情報の暗号化・復号に共通暗号方式を利用する、
機能制御システム。 A function control system according to any one of claims 1 to 3,
Use a common encryption method for encryption / decryption of the setting information.
Function control system. 請求項1から3の何れかに記載の機能制御システムであって、
上記設定情報の暗号化・復号に公開鍵暗号方式を利用する、
機能制御システム。 A function control system according to any one of claims 1 to 3,
Use public key cryptography for encryption / decryption of the setting information,
Function control system. 請求項5に記載の利用者認証システムであって、
電子証明書から取得した公開鍵・秘密鍵を設定情報の暗号化・復号に利用するとともに、電子証明書の認証に公開鍵認証基盤(PKI)を利用する、
機能制御システム。 The user authentication system according to claim 5,
A public key / private key acquired from an electronic certificate is used for encryption / decryption of setting information, and a public key authentication infrastructure (PKI) is used for authentication of the electronic certificate.
Function control system. 請求項1から3の何れかに記載の機能制御システムであって、
上記設定情報の暗号化・復号にIDベース暗号方式を利用する、
機能制御システム。 A function control system according to any one of claims 1 to 3,
Use ID-based encryption method for encryption / decryption of the setting information,
Function control system. 請求項1から3の何れかに記載の機能制御システムであって、
上記設定情報の暗号化・復号に関数型暗号方式を利用する、
機能制御システム。 A function control system according to any one of claims 1 to 3,
Use functional encryption for encryption / decryption of the setting information
Function control system. 利用者管理部が、各利用者の利用者情報の管理を行う利用者管理ステップと、
暗号化条件指定部が、各上記利用者に対応する暗号化条件の設定を行う暗号化条件指定ステップと、
権限設定部が、各アプリケーションの各機能の設定情報の発行を行う設定情報管理ステップと、
暗号化実行部が、上記認証情報を暗号化する暗号化実行ステップと、
設定情報保管部が、上記暗号化された設定情報を保管する設定情報保管ステップと、
復号情報収集部が、上記暗号化された設定情報の復号に必要な情報を収集する復号情報収集ステップと、
復号実行部が、上記収集された情報を用いて上記暗号化された設定情報を復号する復号実行ステップと、
機能実行部が、上記復号された設定情報に基づきアプリケーションの機能の実行の可否あるいは実行の分岐を行う機能実行ステップと、
を含む機能制御方法。 A user management step in which a user management unit manages user information of each user;
An encryption condition specifying step for setting an encryption condition corresponding to each of the above users, and an encryption condition specifying step;
A setting information management step in which the authority setting unit issues setting information of each function of each application;
An encryption execution unit that encrypts the authentication information; and
A setting information storage step in which the setting information storage unit stores the encrypted setting information;
A decryption information collection unit for collecting information necessary for decrypting the encrypted setting information;
A decryption execution unit for decrypting the encrypted setting information using the collected information; and
A function execution step in which the function execution unit determines whether or not to execute the function of the application based on the decoded setting information or branches the execution;
A function control method including: 各利用者の利用者情報の管理を行う利用者管理部と、
各上記利用者に対応する暗号化条件の設定を行う暗号化条件指定部と、
各アプリケーションの各機能の設定情報の発行を行う権限設定部と、
上記認証情報を暗号化する暗号化実行部と、
を含む設定情報管理装置。 A user management unit that manages user information of each user;
An encryption condition specifying unit for setting an encryption condition corresponding to each of the above users,
An authority setting unit that issues setting information for each function of each application;
An encryption execution unit for encrypting the authentication information;
A setting information management device. 設定情報管理装置により暗号化された各アプリケーションの各機能の設定情報を保管する設定情報保管部と、
上記暗号化された設定情報の復号に必要な情報を収集する復号情報収集部と、
上記収集された情報を用いて上記暗号化された設定情報を復号する復号実行部と、
上記復号された設定情報に基づきアプリケーションの機能の実行の可否あるいは実行の分岐を行う機能実行部と、
を含む利用者端末。 A setting information storage unit for storing setting information of each function of each application encrypted by the setting information management device;
A decryption information collection unit for collecting information necessary for decrypting the encrypted setting information;
A decryption execution unit for decrypting the encrypted setting information using the collected information;
A function execution unit for performing the execution of the function of the application based on the decrypted setting information or branching the execution;
User terminal including 請求項10の設定情報管理装置又は請求項11の利用者端末の各部としてコンピュータを機能させるためのプログラム。   The program for functioning a computer as each part of the setting information management apparatus of Claim 10, or the user terminal of Claim 11.
JP2014174972A 2014-08-29 2014-08-29 Function control system, method, setting information management apparatus, user terminal, and program Pending JP2016051250A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014174972A JP2016051250A (en) 2014-08-29 2014-08-29 Function control system, method, setting information management apparatus, user terminal, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014174972A JP2016051250A (en) 2014-08-29 2014-08-29 Function control system, method, setting information management apparatus, user terminal, and program

Publications (1)

Publication Number Publication Date
JP2016051250A true JP2016051250A (en) 2016-04-11

Family

ID=55658726

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014174972A Pending JP2016051250A (en) 2014-08-29 2014-08-29 Function control system, method, setting information management apparatus, user terminal, and program

Country Status (1)

Country Link
JP (1) JP2016051250A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018037767A (en) * 2016-08-30 2018-03-08 西日本電信電話株式会社 User terminal, encryption decryption method, and program

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005020536A (en) * 2003-06-27 2005-01-20 Fuji Electric Holdings Co Ltd Electronic data signature device and program for signature device
JP2006099353A (en) * 2004-09-29 2006-04-13 Matsushita Electric Ind Co Ltd Electronic device
JP2009070073A (en) * 2007-09-12 2009-04-02 Sumitomo Electric Ind Ltd Information processor and agent computer program
JP2010256946A (en) * 2009-04-21 2010-11-11 Nippon Telegr & Teleph Corp <Ntt> Information acquisition system and information acquisition method
WO2013022849A1 (en) * 2011-08-05 2013-02-14 Vmware, Inc. Lock screens to access work environments on a personal mobile device
JP2013077077A (en) * 2011-09-29 2013-04-25 Kyocera Document Solutions Inc Image forming apparatus, image forming system, program for image forming apparatus, and application execution method
EP2738709A1 (en) * 2012-11-28 2014-06-04 Alcatel Lucent An improved method and device for enforcing privacy policies

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005020536A (en) * 2003-06-27 2005-01-20 Fuji Electric Holdings Co Ltd Electronic data signature device and program for signature device
JP2006099353A (en) * 2004-09-29 2006-04-13 Matsushita Electric Ind Co Ltd Electronic device
JP2009070073A (en) * 2007-09-12 2009-04-02 Sumitomo Electric Ind Ltd Information processor and agent computer program
JP2010256946A (en) * 2009-04-21 2010-11-11 Nippon Telegr & Teleph Corp <Ntt> Information acquisition system and information acquisition method
WO2013022849A1 (en) * 2011-08-05 2013-02-14 Vmware, Inc. Lock screens to access work environments on a personal mobile device
JP2013077077A (en) * 2011-09-29 2013-04-25 Kyocera Document Solutions Inc Image forming apparatus, image forming system, program for image forming apparatus, and application execution method
EP2738709A1 (en) * 2012-11-28 2014-06-04 Alcatel Lucent An improved method and device for enforcing privacy policies

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
青柳 真紀子 ほか: "関数型暗号を適用したスマートデバイス機能制御機構の実装", マルチメディア,分散,協調とモバイル(DICOMO2014)シンポジウム論文集, vol. Vol.2014 No.1, JPN6017027855, 9 July 2014 (2014-07-09), JP, pages pp.758−764 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018037767A (en) * 2016-08-30 2018-03-08 西日本電信電話株式会社 User terminal, encryption decryption method, and program

Similar Documents

Publication Publication Date Title
CN109144961B (en) Authorization file sharing method and device
JP6700294B2 (en) Systems and methods for securing data
JP4958246B2 (en) Method, apparatus and system for fast searchable encryption
He et al. Secure, efficient and fine-grained data access control mechanism for P2P storage cloud
US10104049B2 (en) Secure distributed publish/subscribe system
EP3491801A1 (en) Identifying a network node to which data will be replicated
EP3066609A1 (en) Server and method for secure and economical sharing of data
JP6371184B2 (en) Data management system, data management method, and client terminal
US10164774B2 (en) Securing a directed acyclic graph
CN103873236A (en) Searchable encryption method and equipment thereof
CN107302524B (en) Ciphertext data sharing system under cloud computing environment
JP2010244432A (en) File sharing system, shared file server device, file sharing method, access control method of shared file server device, and programs thereof
Khan et al. A comparative study and workload distribution model for re‐encryption schemes in a mobile cloud computing environment
JP2015033068A (en) File sharing system, information provision device, information acquisition device, method thereof and program
JP2012003682A (en) Access control system, access control method, authentication device and authentication system
JP5586397B2 (en) Secure network storage system, method, client device, server device, and program
Mohit et al. Confidentiality and storage of data in cloud environment
JP3215882U (en) Cloud storage based file access control system
JP2016051250A (en) Function control system, method, setting information management apparatus, user terminal, and program
KR101812311B1 (en) User terminal and data sharing method of user terminal based on attributed re-encryption
Yasmin et al. Decentralized Entrance Power with Secret Endorsement of Data Stored in Clouds
Silambarasan et al. Attribute-based convergent encryption key management for secure deduplication in cloud
JP6293617B2 (en) Authentication control system, control server, authentication control method, program
Huang et al. A Secure and IoT-Enabled Data Sharing System Based on IPFS and IOTA Blockchain
KR101413248B1 (en) device for encrypting data in a computer and storage for storing a program encrypting data in a computer

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160914

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170719

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170822

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171019

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180327